L'état du Human Risk

En 2025, les équipes chargées de la cybersécurité auront pour priorité absolue de s'attaquer au risque humain dans les organisations d'aujourd'hui. "C'est également le thème principal du neuvième rapport annuel de Mimecast sur l'état de l'industrie, qui vient d'être publié et qui s'intitule cette année « The State of Human Risk 2025 »."

Chaque année, Mimecast mène une enquête auprès des RSSI et d'autres professionnels de la cybersécurité afin de mieux comprendre les problèmes auxquels ils sont confrontés et les questions qui constituent leur priorité pour l'année à venir. Pour le rapport 2025, nous avons interrogé 1 100 décideurs en matière de sécurité informatique et d'informatique aux États-Unis, au Royaume-Uni, en France, en Allemagne, en Afrique du Sud et en Australie. Un éventail de secteurs privés et publics a été couvert, notamment les soins de santé, le commerce de détail, la finance, l'industrie manufacturière et les services publics.

Le Human Risk reste la principale préoccupation

Les résultats de cette année confirment que le risque humain a dépassé les lacunes technologiques en tant que principal défi en matière de cybersécurité pour les organisations du monde entier. Nos recherches ont révélé que malgré les milliards dépensés pour renforcer leurs technologies, les violations se poursuivent sans relâche, principalement en raison de l'erreur humaine. En fait, les menaces internes, l'utilisation abusive des informations d'identification et les erreurs humaines sont aujourd'hui à l'origine de la plupart des incidents de sécurité.

Dans les films, les pirates informatiques s'assoient devant leur ordinateur portable et, en quelques frappes, disent hardiment : "J'en suis". Mais en réalité, ils passent de plus en plus de temps à planifier leurs attaques, en tenant compte de leur meilleure option pour pirater les systèmes : les humains. Ils utilisent le phishing alimenté par l'IA, exploitent les outils de collaboration et contournent les méthodes d'authentification traditionnelles. Il en résulte des violations de données plus coûteuses, plus audacieuses et plus importantes qui sont non seulement plus difficiles à détecter, mais qui, une fois détectées, sont plus difficiles à contenir.

"Et si cette compréhension des dangers du risque humain n'est pas nécessairement nouvelle pour les professionnels de la sécurité, la vitesse à laquelle l'erreur humaine est exploitée, la vitesse à laquelle l'IA est utilisée pour accélérer la détection et l'exploitation des menaces potentielles ainsi que l'élaboration de phishing et d'autres méthodes d'attaque, et la vitesse à laquelle le volume des attaques augmente sont autant d'éléments qui n'ont jamais été observés auparavant. " Il est donc de plus en plus nécessaire que les organisations se concentrent sur la gestion des risques humains en se tournant vers une plateforme de gestion des risques humains qui combine une technologie de pointe avec une sensibilisation et une formation efficaces à la sécurité centrée sur les risques humains.

Dans le passé, les professionnels de la sécurité pouvaient établir un périmètre défensif et concentrer leurs efforts sur les attaques extérieures, mais d'après les résultats de l'enquête de cette année, les menaces provenant de l'intérieur suscitent également une inquiétude croissante. Certes, des forces extérieures s'efforcent de compromettre les organisations, mais aujourd'hui, avec l'utilisation de l'IA pour inciter les utilisateurs à cliquer sur de mauvais liens, à télécharger des documents malveillants et à divulguer leurs informations d'identification, les menaces internes n'ont jamais été aussi importantes.

Quelques résultats clés

Chaque année, notre enquête nous permet de faire des découvertes très intéressantes. Cette année n'a pas fait exception. Le thème principal que nous avons découvert est que non seulement le risque humain est le sujet brûlant pour 2025, mais qu'il existe également un niveau élevé de risque d'erreurs de sécurité graves dans toutes les activités - et que ce risque augmente. 

D'autres résultats importants sont à noter :

• 94% des organisations interrogées estiment qu'elles sont confrontées à des obstacles lorsqu'il s'agit de s'assurer que les employés adhèrent aux normes de conformité et suivent systématiquement les protocoles de sécurité.
• La sécurité des outils de collaboration reste une surface d'attaque croissante, 37% signalant une augmentation de ce phénomène en 2024 et 44% signalant une augmentation en 2025.
• 96% des organisations déclarent que l'adoption d'une stratégie formelle de cybersécurité a amélioré leur niveau de risque en matière de cybersécurité, mais 95% s'attendent encore à des défis en matière de sécurité du courrier électronique en 2025.
• 61% déclarent qu'il est inévitable ou probable que leur organisation subisse un impact commercial négatif à la suite d'une attaque liée à un outil de collaboration en 2025.

En outre, en ce qui concerne les budgets de cybersécurité, nous avons découvert que la plupart des organisations (85%) déclarent que leur budget de cybersécurité a augmenté au cours des 12 derniers mois, mais seulement 3% déclarent qu'aucun budget supplémentaire n'est nécessaire dans les domaines de la cybersécurité. Plus de la moitié des organisations interrogées déclarent qu'un budget supplémentaire est nécessaire pour le personnel chargé de la cybersécurité (57%), les services tiers (57%) et la sécurité des outils de collaboration (52%). Par ailleurs, 47% déclarent qu'un budget supplémentaire est encore nécessaire pour la sécurité du courrier électronique.

En ce qui concerne l'intelligence artificielle, 95% des répondants à l'enquête déclarent que leur organisation utilise l'IA pour se défendre contre les attaques de cybersécurité et/ou les menaces internes, mais 81% sont préoccupés par le risque de fuites de données sensibles via les outils GenAI, et 55% ne sont PAS entièrement préparés avec des stratégies spécifiques pour les menaces induites par l'IA.

Lire le rapport complet

Dans le rapport de cette année, nous fournissons des informations clés sur :

• L'arrivée de l'ère de la gestion des risques humains et ce que cela signifie pour la sécurisation des organisations.
• L'état actuel de l'adoption par le marché de la gestion des risques humains, y compris un aperçu des raisons pour lesquelles les plateformes de GRH sont si essentielles pour sécuriser l'entreprise d'aujourd'hui.
• Les budgets de sécurité et leur impact sur la capacité des équipes de sécurité à sécuriser efficacement leurs environnements, y compris ce que les RSSI peuvent faire pour atténuer les impacts budgétaires.
• Sécurité du courrier électronique et de la collaboration et attaques sophistiquées de compromission du business email.
• Comment la perte de données et les risques liés aux initiés peuvent affecter les organisations et ce qu'elles peuvent faire pour limiter leur exposition.
• Comment les bons et les méchants utilisent l'IA dans leur combat respectif contre la cybersécurité.
• L'évolution de la formation à la sensibilisation à la sécurité vers quelque chose de plus impactant pour les organisations, la gestion des risques humains et la nécessité d'une plateforme de gestion des risques humains.
• Les principales conclusions de cette étude annuelle très importante et les recommandations pour les prochaines étapes de la sécurisation des organisations.

Téléchargez le rapport complet pour en savoir plus.